Italia 2025: ransomware in crescita. Nel 2026 più notifiche, più casi

Nel 2025 il ransomware in Italia non ha “alzato la testa”. Ce l’aveva già alzata da anni. Noi, semmai, abbiamo continuato a far finta di niente. E i numeri – quelli che finiscono in vetrina, sui leak site, nelle rivendicazioni – raccontano esattamente questa storia: 170 vittime nel 2025 contro 146 nel 2024. Un +16% circa. Non è un’esplosione hollywoodiana. È peggio: è la crescita lenta e stabile di un mercato che funziona. Per loro.

E prima che qualcuno faccia il solito giochino del “eh ma sono solo i casi pubblicati”: certo. Questa non è la totalità degli incidenti, è la punta dell’iceberg. È la parte in cui l’attacco diventa estorsione, comunicazione, pressione, marketing criminale. Quando ci finisci dentro, non sei “solo stato bucato”: sei diventato materiale promozionale.

2025: un anno a ondate, con due schiaffi ben assestati

Il 2025 non è stato lineare. È stato un anno fatto di ondate: mesi più tranquilli (tranquilli… nel senso che si vede meno, non che succede meno) e poi due picchi che sembrano messi lì apposta per ricordarti chi comanda quando la prevenzione è lasciata a metà: luglio e dicembre.

E dicembre, in particolare, è la cartolina più utile: dentro ci trovi di tutto: aziende, siti, realtà locali e soprattutto trovi una cosa che molti continuano a ignorare: il ransomware non è “un gruppo”. È un’economia. Un mercato. Brand che nascono, muoiono, si riciclano, si rinominano. Affiliazioni che migrano. “Nuovi” gruppi che spesso sono vecchie facce con una maschera diversa.

La conseguenza pratica è semplice: non esiste la comfort zone del “non ci riguarda”. Il ransomware colpisce dove trova:

• identità gestite male,
• privilegi larghi come autostrade,
• patching a calendario invece che a rischio,
• backup che “ci sono” ma non si ripristinano mai sul serio,
• e quell’eterna convinzione italiana che “tanto noi siamo piccoli”.

Spoiler: non siete piccoli. Siete solo più facili.

Il punto vero: il 2025 conferma che l’Italia è ancora conveniente

Se nel 2025 le vittime pubbliche aumentano, significa una cosa: il rapporto costo/beneficio è ancora favorevole ai criminali. E finché è così, non serve nemmeno l’exploit del secolo. Basta insistere, industrializzare, comprare accessi iniziali, lavorare di lateral movement e poi premere con doppia estorsione.

E quando vediamo mesi con numeri più bassi, non scambiamoli per “miglioramento”. Spesso è solo una pausa nella vetrina: riorganizzazione, rebranding, change di tooling, pipeline che si riallinea. Nel frattempo, nelle reti di molte aziende, il fumo c’è lo stesso. Solo che non lo vedete… finché non vi chiamano i giornalisti (o l’avvocato).

2026: il paradosso NIS2 (più protetti, ma più incidenti “ufficiali”)

Adesso arriva la parte bella. Nel 2026 entrerà davvero in gioco la NIS2 e molti mi diranno: “bene, quindi meno ransomware”.
Io rispondo: dipende da cosa stai misurando.

1) Sì: i soggetti NIS2, mediamente, saranno più protetti (se la smettono di fare teatro)

Se un soggetto NIS2 fa le cose seriamente, alcune basi migliorano davvero: governance, ruoli, gestione del rischio, controlli minimi, piani, test. E soprattutto – se si lavora bene – migliorano i pilastri che al ransomware danno fastidio: identità, segmentazione, recovery, detection, risposta.

Quindi sì: alcune aziende in perimetro diventeranno bersagli meno comodi. Non invulnerabili. Solo meno comodi. E già questo è un cambiamento enorme, per un Paese che spesso si muove solo quando è obbligato.

2) Però arriva l’obbligo di notifica: e vedremo più incidenti (perché finalmente li conteremo)

Qui sta il punto che tanti faranno finta di non capire: nel 2026, con l’obbligo di notifica, succederà una cosa inevitabile.
Il sottobosco emergerà.

Quelli che prima “gestivano internamente”, quelli che “non diciamo niente”, quelli che “tanto è solo un PC”, quelli che “paghiamo e chiudiamo”, quelli che “meglio non fare rumore”… nel 2026 avranno meno spazio per la retorica e più obblighi da rispettare.

Quindi prepariamoci: aumenteranno gli incidenti notificati, e qualcuno urlerà all’apocalisse. In realtà sarà soprattutto un mix di due cose:

• più trasparenza forzata,
• e una realtà che era già lì, solo che nessuno la voleva guardare.

3) Effetto spostamento: se alzi il muro davanti, ti entrano dal giardino (supply chain)

Terzo elemento: i criminali non spariscono perché tu diventi più maturo. Si spostano. Ottimizzano.
Se alcuni soggetti NIS2 alzano il livello, una parte della pressione si riverserà ancora di più sulla filiera e su chi sta fuori dal perimetro ma resta connesso a tutto: fornitori, terze parti, servizi gestiti, outsourcer, consulenti “onnipotenti” con credenziali ovunque.

In pratica: magari vedremo meno “buchi facili” sui più maturi, ma vedremo più attacchi laterali, più compromissioni indirette, più incidenti che partono da un anello debole e finiscono su tre aziende a cascata.

La mia previsione secca per il 2026

Nel 2026 vedremo più incidenti nei numeri ufficiali. Non perché la NIS2 fallisce, ma perché:

1. la NIS2 alza l’asticella su una parte del mercato,
2. l’obbligo di notifica fa emergere quello che prima veniva nascosto,
3. i criminali spingono sulla filiera e su chi resta fragile.

E qui chiudo con una frase che mi ripeto da anni: non si batte il ransomware con i documenti.
Lo batti con identità governate, segmentazione, backup ripristinabili davvero, logging che serve a qualcosa e un incident response che non inizia quando sei già sui leak site.

Il 2025 ci ha detto che il problema è vivo.
Il 2026 ci dirà, brutalmente, quanti hanno smesso di raccontarsela.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore